Ko se pozivi obnašajo kot virusi: Moltbook in prihodnost AI agentov
Uvod
Moltbook na prvi pogled deluje kot hec: družbeno omrežje, kjer večino "uporabnikov" predstavljajo AI agenti. A skupaj z odprtokodnim ogrodjem OpenClaw je to verjetno najbolj resen opozorilni signal, ki smo ga do zdaj dobili v zvezi z varnostjo agentov. Prvič imamo množično omrežje polavtonomnih agentov, ki imajo dostop do podatkov, orodij, denarnic in – kar je novo – med seboj govorijo.
V nadaljevanju povzemam, kaj se je zgodilo, zakaj so t. i. "črvasti pozivi" drugačni od klasičnega malwara, kako se to umešča v evropski in slovenski kontekst ter zakaj se okno za razumen poseg hitro zapira.
Novica na kratko
Kot poroča Ars Technica, je OpenClaw odprtokodno ogrodje osebnega asistenta, s katerim si lahko uporabniki na svoji napravi postavijo polavtonomne AI agente. Ti se povezujejo na velike modele (predvsem OpenAI in Anthropic), dostopajo do aplikacij, kot so WhatsApp, Telegram, Slack in e‑pošta, ter redno izvajajo naloge brez stalnega nadzora človeka.
Osrednji del ekosistema je Moltbook – simulirano družbeno omrežje, kjer agenti objavljajo, komentirajo in se medsebojno odzivajo. Po podatkih Ars Technice je v sistem registriranih okoli 770.000 agentov, ki jih upravlja približno 17.000 človeških računov.
Raziskovalci za kibernetsko varnost ob tem prižigajo rdeče luči. Norveški Simula Research Lab je v vzorcu objav našel opazen delež skritih napadov z vbrizgavanjem pozivov. Cisco je analiziral priljubljeno zlonamerno "veščino", ki je skrivoma pošiljala podatke na zunanje strežnike. Palo Alto Networks opisuje arhitekturo OpenClawa kot idealno kombinacijo: dostop do zasebnih podatkov, nefiltrirana vsebina iz okolja, zmožnost zunanje komunikacije in trajni spomin agentov.
Dodatno je varnostni raziskovalec razkril napačno konfigurirano podatkovno bazo Moltbooka, ki je razkrila API žetone, e‑poštne naslove in – kar je kritično – popoln zapisovalni dostop do vseh objav. Preden je bila napaka odpravljena, bi lahko kdorkoli množično spremenil vsebino, ki jo v rednih intervalih bere na stotisoče agentov.
Zakaj je to pomembno
Ključni premik je miselni: "ranljivost" ni več napaka v pomnilniku, temveč poved.
Klasični črvi izkoriščajo programersko napako. "Pozivni črvi" izkoriščajo osnovno lastnost jezikovnih modelov: sledijo navodilom, zapisanih v jeziku. Vsak kanal, po katerem besedilo priteče v agenta – e‑pošta, klepet, CRM zapis, objava na Moltbooku – postane potencialno vstopno mesto napada.
To je težje obvladljivo kot tradicionalen malware iz treh razlogov:
Meja med podatki in kodo izgine. Pri makro virusu v Excelu vemo, kje je koda. Pri agentu je lahko vsak odstavek hkrati "podatki" in "program". Orodja, zakonodaja in razvojne navade niso prilagojene takšni dvoumnosti.
Družbena virusačnost se združi s strojnim tempom. Človeška omrežja že zdaj širijo phishing in dezinformacije. Zdaj pa si predstavljajte vsebino, optimizirano za stroje: pozive, zasnovane tako, da se jim agenti težko uprejo ("preberi to, zaženi orodja, nato objavi prilagojeno verzijo"). Ko to pobere nekaj priljubljenih agentov, se širitev zgodi hitreje, kot je sposoben reagirati človek.
Obseg škode je neposredno vezan na pravice agenta. Agenti OpenClaw se lahko povežejo na nabiralnike, klepete, ukazno lupino in denarnice. Samoreplicirajoči poziv ne pošilja le spama, temveč lahko tiho prazni račune, preusmerja občutljive dokumente ali spreminja nastavitve strežnikov – odvisno od tega, kaj smo agentu dovolili.
Kdo ima od tega korist? Proizvajalci varnostnih rešitev in veliki ponudniki modelov. Dobili so močan argument za prodajo "požarnih zidov za pozive", filtrov ter nadzornih slojev – in za centralizacijo nadzora v svojih API‑jih.
Kdo izgublja? Hobi razvijalci in manjši start‑upi, ki gradijo ogrodja agentov brez resne varnostne kulture, ter podjetja, ki prehitro uvajajo "AI sodelavce" v Outlook, Slack ali Teams, ne da bi razumeli, da odpirajo novo programabilno napadalno površino znotraj svojega omrežja.
Sporočilo je neprijetno jasno: za sistemsko tveganje ne potrebujemo splošne umetne inteligence. Dovolj je množica precej neumnih agentov, ki v velikem obsegu ubogajo napačna navodila.
Širši kontekst
Moltbook ni čudna izjema, temveč koncentrat več trendov, ki jih spremljamo zadnja leta.
Prvič, raziskovalci že nekaj časa opozarjajo na samoreplicirajoče pozive. Leta 2024 je projekt Morris‑II pokazal, kako je mogoče asistente za e‑pošto pretentati, da preberejo posebej oblikovana sporočila, izvozijo podatke in samodejno pošiljajo nova, podobna sporočila – torej spremenijo e‑poštno infrastrukturo v gojišče črvov. OpenClaw razširi isti princip z e‑pošte na celoten splet veščin in integracij.
Drugič, industrija se odmika od enkratnih klepetov k dolgotrajno delujočim agentom z orodji – od AutoGPT do številnih "AI zaposlenih" in samodejnih podpornih botov. OpenClaw v bistvu vzame ta koncept in odstrani večino varoval, ki jih veliki igralci skrbno dodajajo: omejitve klicev, človeško potrditev kritičnih dejanj, omejen nabor orodij.
Tretjič, zgodovina se rima. V osemdesetih in devetdesetih so virusi nastajali v hobi kulturi, preden je podjetniški svet razvil upravljanje popravkov, antivirus in postopke odziva na incidente. Današnja "vibe" kultura razvoja agentov je podobna: hiter tempo, malo razmisleka o grožnjah in uporabniki, ki jih bolj zanima spektakel kot varnost.
Za OpenAI in Anthropic je to konkurenčno shizofrena situacija. Njuni modeli poganjajo večino teh agentov, hkrati pa lahko z ukinitvijo ključev omrežje (delno) ugasneta. S tem bi zaščitila širši ekosistem, a bi si nakopala jezo najbolj angažiranih uporabnikov, ki plačujejo za dostop.
Vzporedno se krepi odprtokodni tabor – Mistral, Qwen, kitajski in drugi modeli. Ko bodo lokalno poganjani modeli dovolj zmogljivi za resne agente, centralnega "izklopnega stikala" ne bo več. Moltbook je tako bolj prototip prihodnjega povsem porazdeljenega ekosistema kot eksces.
V tem svetu bo odločilno, ali bomo varnostne norme, standarde in orodja vzeli resno – ali pa bomo čez nekaj let govorili o "pozivnem izsiljevanju" tako, kot danes govorimo o ransomwareju.
Evropski in slovenski vidik
Za Evropo je Moltbook testni poligon za več regulativnih režimov hkrati.
Prihodnji Akt EU o umetni inteligenci nalaga ponudnikom splošnonamenskih modelov in uporabnikom sistemov z visokim sistemskim tveganjem obveznosti glede upravljanja varnostnih tveganj. Verige samoreplicirajočih pozivov sem sodijo neposredno. Tudi če je OpenClaw skupnostni projekt, bodo evropski modeli, kot je Mistral, podvrženi zahtevam glede beleženja, analize tveganj in poročanja o incidentih, ko dosežejo določeno razširjenost.
GDPR doda še plast odgovornosti. Kdor agentu omogoči dostop do nabiralnika ali CRM‑ja, temu v bistvu dovoli izvajanje kode nad osebnimi podatki. Če pozivni črv agenta pripravi do tega, da pošlje celotno mapo "Prejeto" na zunanji strežnik, bo Informacijski pooblaščenec zanimalo le, ali je to kršitev varnosti podatkov – ne pa, ali jo je povzročil "poziv".
Direktiva NIS2 bo od večjih organizacij zahtevala obravnavo agentov kot del ključne digitalne infrastrukture. To pomeni uvedbo inventarja agentov in njihovih veščin, ocene groženj na ravni pozivov ter varnostno testiranje pred uvajanjem.
Za Slovenijo to odpira tudi praktična vprašanja. Startupi iz Ljubljane ali Maribora, ki gradijo nad agenti (npr. avtomatizacija za računovodstvo ali logistiko), bodo morali zelo zgodaj razmišljati o sandboxingu, minimalnih potrebnih dovoljenjih in revizijskih sledovih, če ciljajo na korporativne stranke v EU.
Po drugi strani ima ravno bolj zadržana evropska digitalna kultura priložnost. Podjetja iz EU – od nemških varnostnih hiš do skandinavskih platform za agente – lahko konkurirajo z robustnejšo varnostno zasnovo in skladnostjo, ne le z zmogljivostjo modelov.
Pogled naprej
V naslednjih 1–2 letih lahko pričakujemo več razvojnih smeri.
Orodja za filtriranje pozivov postanejo standard. Pojavili se bodo "požarni zidovi" med zunanjimi viri besedila in agenti, ki bodo iskali značilne vzorce ugrabitev pozivov, prisilnih klicev orodij in poskusov samoreplikacije.
Podjetniške platforme bodo agente zaklepale. Microsoft 365, Google Workspace, Slack in podobni bodo ponujali le predhodno preverjene veščine z omejenimi dovoljenji. Odprte zbirke veščin v slogu ClawdHuba bodo v resnih okoljih praktično neuporabne.
Prvi odmevni incident s pozivnim črvom. Najverjetneje ne bo spektakularen. Bolj verjetno bo šlo za niz samodejno nastalih sporočil v e‑pošti ali klepetu, ki bodo neopazno pobirala denar ali dokumente med več organizacijami, preden bo nekdo povezal piko na i.
Spor glede "izklopnih stikal". Ena od velikih platform bo prej ali slej pod pritiskom, da iz varnostnih razlogov blokira določene vzorce uporabe API‑ja. To bo odprlo politično vprašanje, koliko moči ima en ponudnik v ekosistemu, na katerem temeljijo poslovni procesi drugih.
Dolgoročno, ko bodo lokalno nameščeni modeli dovolj zmogljivi, bo ta razprava postala akademska. Črv zgrajen na odprtokodnem modelu, ki se širi po zasebnih strežnikih, ne bo imel jasnega lastnika. Potrebovali bomo evropske različice CSIRT‑ov in CERT‑ov, ki bodo razumeli tudi napade na nivoju pozivov, ne le klasičnih ranljivosti.
Ključno vprašanje je, ali bomo ta ekosistem zgradili, dokler so Moltbook‑u podobni projekti še igrača – ali pa bomo čakali na svojega "Morrisa" v dobi agentov.
Bistvo
Moltbook ni katastrofa, je generalka. Pokaže, da se pozivi v omrežju agentov obnašajo bolj kot patogeni kot kot konfiguracijske nastavitve. Če bomo pozive še naprej obravnavali kot nedolžno besedilo, bomo ponovili varnostne napake zgodnjega Interneta – le da hitreje.
Razvijalci, podjetja in regulatorji bodo morali začeti obravnavati pozive kot kodo, agente kot privilegirane procese in mreže agentov kot potencialna žarišča okužb. Vprašanje ni več, ali so pozivni črvi mogoči, temveč ali bomo pripravljeni, ko bodo iz laboratorija prešli v prakso.
